E-post er den mest utbredte metoden for å innlede angrep mot virksomheter. Datakriminelle opererer med falske avsendere, fisker etter brukerlegitimasjon og kredittkort og får deg til å åpne skadelige vedlegg. Exchange Online Protection (EOP) beskytter mot kjente virus, søppelpost og forskjellige typer nettfiske. Office 365 Advanced Threat Protection (ATP) utvider beskyttelsen til å omfatte nulldagstrusler, farlige lenker og avanserte former for phishing. EOP følger med hver postboks i skyen. Office 365 ATP krever en egen lisens som kan tegnes separat.
Office 365 ATP Plan 1 er grunnpakken og inngår i Microsoft 365 Business Premium. Plan 2 plusser på med tjenester som automatisert undersøkelse og respons, trusselsporing og en angrepssimulator. Her får du en oversikt over egenskapene i Office 365 ATP og hvordan de føyer seg inn i EOP. Viktig er også tre protokoller for autentisering av e-post. Dette er et omfattende produkt, og fremstillingen her kan ikke bli mer enn en smakebit. Men forhåpentlig er det nok til at du kommer i gang med en effektiv trusselbeskyttelse mot e-postangrep.
Grunnleggende egenskaper i Office 365 ATP
Begge Office 365 ATP-abonnementer inneholder disse funksjonene: Klarerte ATP-vedlegg beskytter organisasjonen mot skadelig innhold i e-postvedlegg og filer i SharePoint, OneDrive og Teams. ATP-klarerte koblinger skjermer brukere mot å åpne og dele farlige koblinger i e-postmeldinger og Office. ATP-anti-phishing garderer mot phishing-angrep og konfigurerer sikkerhetstips for mistenkelige meldinger. Du kan se rapporter i sanntid for å overvåke ATP-ytelsen i organisasjonen.
Klarerte ATP-vedlegg
Klarerte ATP-vedlegg sikrer deg mot ukjent skadelig programvare og gir såkalt nulldagers beskyttelse. Meldingen passerer først gjennom flere filtre og blitt skannet av tre antivirusmotorer for kjente virus basert på signaturer. Når vedlegget kommer til ATP, behandles det som mistenkelig og blir omdirigert til et spesielt miljø. Her åpnes det i en isolert container som Microsoft kaller detonasjonskammer.
ATP bruker en rekke maskinlærings- og analyseteknikker for å oppdage mulige ondsinnete hensikter. Det undersøkes om vedlegget inneholder kjørbar kode, gjør forsøk på skrive til registeret eller filsystemet og kopiere seg selv. Hvis ingen mistenkelig aktivitet blir oppdaget, anses vedlegget for å være trygt, og meldingen blir frigitt for levering til postboksen. Skanningen foregår i samme geografiske område som dataene dine er lagret i.
ATP-klarerte koblinger
ATP-klarerte koblinger beskytter brukerne dine proaktivt mot ondsinnete nettadresser i meldinger eller Office-dokumenter. Beskyttelsen er dynamisk. Koblingene skannes først når du klikker på dem og for hver gang på nytt. Det hindrer angripere i først å sende en tilsynelatende tilforlatelig kobling for senere å endre den. Samtidig får du tilgang til trygge lenker du ellers klikker på.
ATP-anti-phishing
ATP-anti-phishing sjekker innkommende e-postmeldinger for kjennetegn på nettfiske. Når brukere er dekket av ATP-policyer for sikre vedlegg og koblinger eller anti-phishing, blir meldingene evaluert av flere maskinlæringsmodeller som undersøker dem inngående. Avhengig av hva slags regelsett du har konfigurert, utføres så passende handlinger. Meldinger kan flyttes til mappen for søppelpost og settes i karantene. ATP oppdager forsøk på å forfalske eller etterlikne avsenderadresser. Algoritmene for å påvise sikkerhetsbrudd og avverge phishing-angrep er avanserte. Microsoft utnytter billioner av signaler fra Intelligent Security Graph og analyserer milliarder av e-postmeldinger hver dag.
Sanntidsrapporter
Trusselbeskyttelse uten synlighet gir en skrantende trygghet. I Sikkerhets- og samsvarsentret finner du omfattende overvåkingsfunksjoner med sanntidsrapporter og detaljerte interaktive innsikter. Det lar deg fokusere på problemer med høy prioritet, som økt mistenkelig aktivitet og angrepsforsøk. Instrumentbordet nøyer seg ikke med å fremheve problemområder, men gir også anbefalinger. Du får opp koblinger for å se og søke i data og muligheten til å utføre raske handlinger.
Utvidede egenskaper i Office 365 ATP
Office 365 ATP-abonnementet Plan 2, som også følger med Microsoft 365 Enterprise E5, utvider egenskapene. Utforsker gir en sanntidsrapport som lar deg identifisere og analysere nyere trusler. Med automatisk undersøkelse og svar kan du kjøre automatiserte undersøkelsesprosesser som respons på velkjente trusler. Trusselsporere gir deg siste nytt med informasjonen om utfordringer knyttet til cybersikkerhet, så du kan sette i verk tiltak for å beskytte organisasjonen din i forkant. Angrepssimulator lar deg kjøre realistiske angrepsscenarioer i organisasjonen din, som spydfiske og passordangrep med rå kraft.
Utforsker
Utforsker – også kalt Trusselutforsker – er en sanntidsrapport som lar deg identifisere og analysere nyere trusler. Det er dette verktøyet du vil bruke mest. Oversikten går sju dager tilbake i tid, men kan forlenges til 30. Skadelig programvare har to visninger. For e-post får du frem trusler fra skadevare som er oppdaget ved virusskanning, ATP-detonasjon eller vurdering av omdømmet. Du ser de mest alminnelige former for skadevare og brukere som er utsatt for dem. For dokumenter som er lagret i Microsoft 365, kan du se skadelige ATP-filer som er avdekket ved detonasjonsprosessen. Sånn kan du forstå når brukere har lastet opp infiserte datafiler til SharePoint, OneDrive og Teams.
I visningen Phishing kan du gå igjennom phishing-trusler som er blitt oppdaget via nettadresse, omdømme, heuristikk eller maskinlæring. Du kan se hvor e-postmeldingene kommer fra, og hvilke nettadresser folk har klikket på, inkludert blokkert-/tillattstatus for brukerklikkene. Innsendinger er brukerrapporterte meldinger om antatt phishing, skadelige programvare, søppelpost eller falske positiver (ikke søppel). All e-post viser interne og eksterne meldinger. Kampanjer er koordinerte e-postangrep. Ved å klikke på de enkelte meldingene får du tak i all den detaljerte informasjon du trenger, ikke minst meldingshodet – med en direkte lenke til Microsoft Meldingshodeanalyse! Da vet vi også ganske raskt betydelig mye mer om e-posten.
Automatisk undersøkelse og svar
Den tekniske termen er automated incident response (AIR), automatisert respons på hendelser. Det gjør det mulig å kjøre automatiserte etterforskningsprosesser som svar på kjente trusler som eksisterer i dag. På den måten kan sikkerhetsteamet operere mer effektivt. Utbedringshandliger, som å slette ondsinnede meldinger, blir utført etter manuell godkjenning. Her følger det med verktøy for å utrede og svare på trusler som gjør det mulig å forutse, forstå og hindre ondsinnete angrep.
Trusselsporing
Trusselsporere holder deg oppdatert med de siste opplysningene om farer knyttet til cybersikkerhet. Dermed er du på høyde med trussellandskapet og kan sette i verk tiltak for å beskytte organisasjonen din i forkant. Sånn kan du for eksempel se informasjon om den nyeste skadelige programvaren. Tilgjengelige sporere er for forhold det er verdt å legge merke til, for trender og for to typer spørringer.
Angrepssimulator
Med Angrepssimulator kan du kjøre realistiske angrepsscenarioer i organisasjonen din. Det kan benyttes til å teste forsvaret ditt og identifisere sårbarheter. Simulatoren er velegnet til å lære opp brukere. Du gjenskape målrettede phishing-angrep, angrep med rå kraft og spray-angrep.
Målrettede phishing-angrep er et forsøk på å tilegne seg sensitive opplysninger, som brukernavn, passord og opplysninger om kredittkort. Det ene angrepet benytter en nettadresse til å få tak i påloggingsinformasjon, det andre et vedlegg for å prøve å få sluttbrukere til å åpne det. Angrep med rå kraft er en automatisert metode basert på prøving og feiling som genererer passordforslag fra en ordliste mot en brukers passord. Spray-angrep med passord er et forsøk på å prøve vanlige passord mot en liste over brukerkontoer.
Med denne oversikten på plass er det på tide å forstå hvordan Office 365 ATP er integrert i Exchange Online Protection, beskyttelseslaget for all innkommende og utgående e-post. Det følger en kjapp gjennomgang av tre autentiseringsprotokoller for e-post. Endelig gis det noen eksempler på å konfigurere ATP-anti-phishing, Klarerte ATP-vedlegg og ATP-klarerte koblinger.
Exchange Online Protection og Office 365 ATP
Sammen med Office 365 ATP bygger Exchange Online Protection (EOP) opp et lagdelt dybdeforsvar som klarer motstå selv de mest sofistikerte former for e-postangrep. Dette illustreres best ved å se på hvordan meldinger kommer inn i Exchange-organisasjonen din. Avsendende e-postsystem foretar et DNS-oppslag for å få tak i MX-posten og IP-adressen for mottakerens e-postdomene og sender meldingen til EOP. Her må den passere gjennom disse beskyttelseslagene:
Tilkoblingsfilteret sørger for perimeterbeskyttelse. Den avviser med det samme meldinger fra dynamiske IP-adresser, beryktede nettverk og kjente frynsete avsendere. Det kontrolleres om mottaker eksisterer. Du kan selv sperre og klarere nettverksadresser. Du kan aktivere Microsoft sikkerliste, som bygger på tredjeparter og Microsofts egen informasjon om trygge avsendere. Meldinger fra disse godkjente kildene kontrolleres ikke videre for søppelpost.
Filtret for skadelig programvare sender meldingen gjennom antivirus-skannemotorene. Infisert e-post blir satt i karantene og kan kun slettes eller frigis av systemansvarlig. Du kan ikke slå av antivirus-funksjonen. Det er ingen opsjon for å skanne postbokser. Beskyttelsen tar seg bare av meldinger i transitt. Det eneste du kan konfigurere her, er meldinger til brukere og administratorer, pluss filteret for vanlige typer vedlegg, som kan inneholde utførbar kode.
Transportregler kan hindre upassende innhold i å komme inn i eller forlate virksomheten. Den kan filtrere konfidensiell bedriftsinformasjon. Du kan bruke dem til å spore eller arkivere kopierte meldinger som blir sendt til eller mottatt fra bestemte personer. Meldinger kan omdirigeres for inspeksjon før levering.
Søppelpostfiltret luker ut det meste av spam, som ifølge Microsoft utgjør 90 prosent av all e-post. Her er det omfattende muligheter for å konfigurere filteret. Du kan stenge for språk og avsenderland. Du kan blokkere potensielt farlig kode, som JavaScript og VBScript i HTML. Microsoft opererer med forskjellige kategorier for søppelpost. Du bør plassere meldinger som høyst sannsynlig er uønsket, i karantene og gi brukere melding om det. Her er det også beskyttelse mot masseutsendelser og phishing-e-post. Relativt nytt er en policy for forfalskningsanalyse, som erstattes ved et abonnement på Office 365 ATP. Du kan involvere sluttbrukerne, så de er med på å bygge opp lister over sikre og blokkerte avsendere, samt rapportere spam direkte til Microsoft.
Office 365 ATP skjermer deg mot farlige vedlegg og skadelige koblinger. Vedlegg som er sluppet gjennom antivirusbeskyttelsen, skannes for ukjente trusler i en isolert virtuell maskin. Her undersøkes det om det for eksempel er kode som skriver til filsystemet eller registeret. Koblinger analyseres idet du klikker på dem. I tillegg får du en omfattende beskyttelse mot phishing-angrep basert på imiterte eller forfalskede avsenderadresser.
SPF, DKIM og DMARC
Hvert e-postsystem bør settes opp med de tre autentiseringsprotokollene SPF, DKIM og DMARC. Det bekrefter at avsender er den hun utgir seg for. Protokollene er ikke spesifikke for EOP. Men EOP benytter dem for å godkjenne avsendere og legger opp til at du setter dem opp selv. Sender Policy Framework (SPF) – eller rammeverk for avsenderpolicy – angir hvem som har lov til å sende på vegne av ditt eller dine domener, basert på IP-adresser. DomainKeys Identified Mail (DKIM) – eller e-post identifisert ved domenenøkler – signerer meldingshodet med din private nøkkel og mottaker verifiserer den med den offentlige nøkkel som er publisert i DNS.
Domain-based Message Authentication, Reporting and Conformance (DMARC) – eller domene-basert meldingsautentisering, rapportering overensstemmelse – forutsetter SPF og DKIM. Forvirrende nok har en melding to avsenderadresser. MailFrom angir returbanen og er bare synlig i meldingshodet. From vises som avsender i e-postklienten. DMARC krever at de to adressene er på linje med hverandre. Vanligvis foretas SPF- og DKIM-kontrollen mot MailFrom. Konfigurasjonen her kan være gyldig, selv om avsender er forfalsket. Først DMARC kan gi en endelig og sikker autentisering. SPF er utbredt, DKIM og DMARC i mye mindre grad. Derfor har Microsoft innført sine egne metoder for å godkjenne avsendere i Office 365 for å beskytte mot nettfisking. Men Microsoft anbefaler i dag at alle setter opp disse tre protokollene. Det sørger for et tryggere globalt e-postmiljø der vi kan stole på at avsendere er de personene de utgir seg for.
Kom i gang med Office 365 ATP
Velg Security i Microsoft 365 administrasjonssenter (her er det fortsatt den engelske betegnelsen). Da er du inne i Sikkerhets- og samsvarssentret for Office 365. Du kan undersøke og beskytte deg mot trusler og få råd om hvordan du øker sikkerheten og mye mer. Velg Trusselhåndtering og bla deg ned til Policy. Vi er tilbake i grensesnittet for Office 365 ATP Plan 1. Det er sånn det ser ut i Microsoft 365 Business Premium, som er Lillevik ITs anbefalte løsning for små og mellomstore bedrifter. Her skal vi konsentrere oss om ATP-anti-phishing, Klarerte ATP-vedlegg og ATP-klarerte koblinger.
ATP-anti-phishing
Office 365 ATP kommer med en standardpolicy for anti-phishing, som gjelder for alle. Du kan legge til flere policyer og tilordne dem til brukere og grupper. Vår organisasjon er liten, og vi nøyer oss med den, men har tilpasset reglene.
Dette er innstillingene vi har valgt i vår lille leier (tenant). For handlinger kan det være en god idé å begynne med å flytte meldingene til søppelpostmappen. Så kan du senere vurdere om de skal plasseres i karantene. I etterlikning ligger at domenet eller avsenderadressen likner på et kjent navn, for eksempel sildviga.no i stedet for sildeviga.no. Forfalskning betyr at navnene er identiske. Vær forsiktig med avanserte innstillinger. Her kan det være lurt å starte med en lavere terskelverdi enn mest aggressiv.
Klarerte ATP-vedlegg
Vi har valgt disse innstillingene for klarerte vedlegg. Hvis en skadelig fil oppdages i et bibliotek i SharePoint, OneDrive eller Microsoft Teams, hindrer ATP brukerne i å åpne og laste ned filen. Vi har også krysset av for en tilleggsfunksjon som krever Microsoft 365 Entreprise E5 eller tillegget for E5-sikkerhet: Før en bruker får lov til å klarere en fil som er åpen i Office 365 ProPlus, blir filen bekreftet av Microsoft Defender Advanced Threat Protection.
Standard policy for alle brukere er dynamisk levering. Da får du meldingen umiddelbart. Med Erstatt må du i gjennomsnitt vente i 45 sekunder – enkelte ganger kan det ta lengre tid.
Sånn ser det ut for mottaker med dynamisk levering. Du får meldingen med det samme og kan se dokumentet i Word Online mens du venter på at det er skannet i et detonasjonskammer.
ATP-klarerte koblinger
Her er det valgt at nettadresser skal skrives om og kontrolleres mot en liste over kjente skadelige koblinger når brukeren klikker på koblingen. Beskyttelsen er også aktivert for Teams.
Resten er standardinnstillingene. Vi sporer ikke brukeratferd (Microsoft heller ikke i utrengsmål). Så er det naturligvis ikke nødvendig med å skrive om URL-adressen for bloggen vår.
Avsluttende ord
Microsoft Office 365 Advanced Threat Protection (ATP) er en skybasert tjeneste som beskytter organisasjonen mot sofistikerte trusler, som phishing og nulldagstrusler fra skadelig programvare, og kan undersøke og utbedre angrep automatisk. Grunnpakken i Office 365 ATP Plan 1 – som inngår i Microsoft 365 Business Premium sørger for konfigurasjon, beskyttelse og gjenkjenning med funksjoner som sikre vedlegg og koblinger, policyer mot phishing og sanntidsrapportering. Med Office 365 Plan 2 – som også følger med Microsoft 365 Enterprise E5 – får du utvidede tjenester. Her er det automatiserte undersøkelser og utbedring, foruten forskjellige sporere for trusler.
Her har vi fokusert på hvordan du kan bruke ATP til meldingsbeskyttelse i Microsoft 365. Men du kan også sette opp ATP sammen med Exchange Online Protection for ditt lokale Exchange Server-miljø eller andre lokale SMTP-e-postløsninger. Det er også støtte for hybride Exchange-konfigurasjoner med en blanding av lokale og skybaserte postbokser. Office 365 ATP er et så sentralt produkt at det faller inn under kategorien uunnværlig.